Программу для слежки за москвичами удалили сразу после релиза

Среда, 1 апреля 2020 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Департамент информационных технологий(ДИТ) Москвы выпустил приложение для отслеживания находящихся на карантине жителей города и почти сразу удалил его. Специалисты успели проанализировать программу и выяснили, что часть личных данных в незашифрованном виде передавалась эстонской компании identix.one. 1 апреля 2020 16:54

Приложение «Социальный мониторинг» было доступно в Play Market с 25 марта, но сейчас уже удалено. Помимо журналистов и любопытных пользователей, его успели проанализировать IT-специалисты Владислав Здольников с Дмитрем Тарасенко, и выяснили ряд интересных подробностей. Как пишет интернет-издание Rozetked, самое подозрительное — отправка личных данных пользователей (включая фото для распознавания лиц) по незащищенному каналу на сервера зарубежной фирмы (находится в юрисдикции Эстонии).

Разработчиком программы указано ГКУ «Информационный город», подведомственное московскому ДИТ. На странице «Социального мониторинга» в магазине приложений для ОС Android была указана электронная почта для контактов, которая, предположительно, принадлежит кемеровской компании Wokka Lokka. Данная организация известна созданием приложения для слежки за детьми и является подрядчиком ДИТ. Ее собственник Игорь Афанасьев одновременно с ней владеет «Гаскар Интеграция», Здольников связался последней и за комментариями его перенаправили в Правительство Москвы.

Стоит отметить, что большинство успевших ознакомиться с программой, так и не смогли в ней зарегистрироваться — об этом сообщают, например, BBC. Тем не менее, не только представители СМИ проявили интерес к «Социальному мониторингу»: на момент удаления у него было 3,5 тысяч отзывов со средней оценкой 1 балл. Многие скачавшие жаловались, что приложение запрашивает невероятно большое количество самых широких разрешений, но непонятно зачем ему столько прав при очень ограниченном функционале.

И действительно, «Социальный мониторинг» позволяет делать лишь следующие две вещи — перейти на страницу сайта мэрии с последними новостями об эпидемии, а также вызвать экстренную помощь. При регистрации делается фото пользователя (очевидно, для упрощения возможности отслеживать его потом городской системой видеонаблюдения), а еще с помощью приложения можно генерировать QR-коды, являющиеся своеобразными пропусками для передвижения по Москве в период всеобщей самоизоляции.

Владислав Здольников // IT и СОРМ // Telegram

При этом программа требует доступа вообще ко всем данным и системам смартфона: от вполне очевидного разрешения вести съемку и работать со встроенным накопителем, до автозапуска после перезагрузки, управления Wi-Fi- и Bluetooth-соединением, геолокации, датчикам пульса, а также звонкам. В дополнение к этому, анализ поведения и исходного кода «Социального мониторинга» выявил ряд очень серьезных проблем:

приложение передает все собранные данные в незашифрованном виде, причем часть из них — на зарубежные сервисы (это критический недостаток, недопустимый для приложений такого типа);
токен API для identix. one (сильно упрощая — «ключ» для доступа к серверу распознавания лиц) содержится в коде в открытом виде, что позволяет злоумышленникам легко манипулировать пересылаемым данными и либо красть чужие пакеты либо подменять свои;
идентификаторы IMEI и MAC, которые содержатся в генерируемых приложением QR-кодах, программа получает даже без выданных разрешений путем взлома операционной системы.

В итоге, IT-специалисты оценивают данную разработку как крайне непрофессионально сделанную и потенциально опасную для пользователей. Ее уровень защиты от злоумышленников не выдерживает никакой критики (защиты просто нет), а объем собираемых личных данных не поддается никакому этичному объяснению. Исходный код «Социального мониторинга» выложен на ресурсе GitHub, но после удаления приложения из Play Store проверить его подлинность не представляется возможным. В четверг, 2 апреля ДИТ Москвы обещает выпустить новую версию программы.

Важно заметить, что Правительство Москвы опровергает использование эстонских серверов: «Все программное обеспечение и данные хранятся на серверах департамента информационных технологий на территории России» (цитату приводит издание «Коммерсант»). Тем не менее, это заявление никак не объясняет особенностей функционирования «Социального мониторинга» и не отрицает возможность пересылки данных за рубеж в процессе работы программы. Сколько стоила разработка приложения — неизвестно, но по открытым данным ДИТ заключил с «Гаскар Интеграция» несколько контрактов на сотни миллионов рублей. Ещё больше по темам

Обсудить 0 Лучшее за неделю Читайте также

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 722
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003